Работа с профилями среды выполнения контейнеров

При реализации политик среды выполнения Kaspersky Security для контейнеров может применять заданные вами правила мониторинга процессов и сети. Для этого в соответствующие политики среды выполнения требуется добавить профили среды выполнения, которые представляют собой списки ограничений для работы контейнеров. Профили образов задают параметры безопасного развертывания образов и безопасного поведения приложений, развернутых из образов. Осуществление действий, закрепленных в профилях, позволяет значительно снизить возможности злоумышленника при проникновении внутрь объекта и повысить уровень защиты при работе контейнеров в среде выполнения.

Ограничения в составе профиля среды выполнения описывают следующие параметры:

• Подлежащие блокировке исполняемые файлы.
• Сетевые ограничения на входящие и исходящие соединения.

Профили среды выполнения в политиках среды выполнения применяются в отношении образов, которые запущены в средах оркестрации с помощью объектов в составе кластера. Если контейнер запускается вне среды оркестрации (например, с помощью команды docker run или ctr run), решение не выявит вредоносное ПО в таком контейнере.

Решение не осуществляет автоматический поиск вредоносного ПО при сохранении объектов в контейнере. Мы рекомендуем вам обеспечить дополнительную защиту контейнеризированных файлов вне среды оркестрации.

Список настроенных профилей отображается в виде таблицы на вкладке Профили среды выполнения в разделе Политики → Среда выполнения. В этом разделе вы также можете выполнять следующие действия:

• Создавать новые профили среды выполнения контейнеров. Окно настройки профиля открывается с помощью кнопки Добавить профиль над списком.
• Изменять параметры профиля, нажав на ссылку в названии профиля среды выполнения.
• Удалять профили среды выполнения.

Создание профиля среды выполнения

Чтобы создать профиль среды выполнения контейнера:

1. В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на кнопку Добавить профиль.

   Откроется окно ввода параметров профиля.

2. Введите название профиля среды выполнения и при необходимости его описание.
3. В раскрывающемся списке Области применения выберите одну или несколько областей применения.

   Области применения в профилях среды исполнения используются для дальнейшего правильного использования профилей в политиках среды выполнения.

4. В блоке Защита от файловых угроз с помощью переключателя Выключено / Включено активируйте компонент Защита от файловых угроз. Он используется для поиска и анализа потенциальных файловых угроз, а также обеспечивает безопасность контейнеризированных объектов, в том числе архивов и файлов электронной почты.

   Когда применяется профиль среды выполнения с включенным компонентом Защита от файловых угроз, Kaspersky Security для контейнеров активирует защиту от файловых угроз в реальном времени на всех узлах в составе областей применения, заданных для такой политики. Конфигурация разворачиваемых агентов зависит от настроек параметров, которые вы укажете для компонента Защита от файловых угроз. Вы можете настроить параметры защиты от файловых угроз, нажав на кнопку Параметры компонента Защита от файловых угроз на вкладке Профили среды выполнения в разделе Политики → Среда выполнения.

5. В блоке Ограничение исполняемых файлов контейнера с помощью переключателя Выключено / Включено активируйте возможность ограничивать работу исполняемых файлов в соответствии с правилами. В списке выберите вариант блокирования, который гарантирует оптимальную работу контейнера:
   • Блокировать запуск всех исполняемых файлов. При выборе этого варианта блокирования решение запретит запуск всех исполняемых файлов при работе контейнера.
   • Блокировать указанные исполняемые файлы. При выборе этого варианта решение заблокирует исполняемые файлы, которые вы укажете в поле Блокировать указанные исполняемые файлы. Вы можете заблокировать все исполняемые файлы или указать список конкретных исполняемых файлов для блокировки. Необходимо указывать полный оригинальный путь для исполняемого файла (например, /bin/php). При этом можно указать маску *, например, /bin/*, которая позволит распространить действие правила на всю указанную директорию и ее поддиректории.

     Более точно настроить список запрещенных и разрешенных к запуску исполняемых файлов можно, указав исключения для правил блокирования. Например, для /bin/* в исключениях можно указать путь /bin/cat. При этом будет запрещен запуск всех исполняемых файлов из директории /bin/, кроме приложения /bin/cat.

     Пример пути к исполняемым файлам

     Указание прямого пути к бинарным исполняемым файлам:

     /bin/bash

     Указание директории с помощью маски *:

     /bin/*

     В этом примере разрешается запуск всех исполняемым файлов из поддиректорий директории /bin/.

     При работе с бинарным файлом busybox, который поставляется во многих базовых образах для контейнеров (например, в alpine), необходимо учитывать, что busybox содержит в себе набор команд для вызова приложений без явного указания вызываемых приложений. Например, команда ls используется для быстрого вызова исполняемого файла /bin/ls, который в свою очередь является символической ссылкой на /bin/busybox. В этом случае необходимо указывать путь до исполняемого файла следующим образом: /bin/busybox/ls (то есть требуется объединить оригинальный путь исполняемого файла /bin/busybox и его команды ls с помощью символа /).

     Если вы установите флажок Разрешить исключения, решение при запуске и работе контейнера заблокирует все исполняемые файлы, кроме указанных в поле Разрешить исключения.

     Все указанные для этого блока параметров правила и исключения являются регулярными выражениями (regexp). Решение использует заданные шаблоны и флаги для поиска всех файлов, которые соответствуют определенному регулярному выражению.

6. В блоке Ограничение входящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать входящие соединения контейнера. При включении этого ограничения Kaspersky Security для контейнеров будет блокировать все источники входящих соединений, кроме указанных вами в качестве исключений.

   Если вы установите флажок Разрешить исключения, то сможете указать параметры одного или нескольких разрешенных источников входящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

   • Источники. В поле Источники введите IP-адрес или диапазон IP-адресов источника входящего соединения в нотациях CIDR4 и CIDR6.
   • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

     Если требуется указать несколько портов, используйте запятую, например 8080, 8082.

     Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

7. В блоке Ограничение исходящих сетевых соединений с помощью переключателя Выключено / Включено активируйте возможность ограничивать исходящие соединения для указанных точек назначения.

   Если вы установите флажок Разрешить исключения, то сможете указать параметры одной или нескольких разрешенных точек назначения исходящих сетевых соединений. Для определения исключений требуется указать хотя бы один из следующих параметров:

   • Точки назначения. В поле Точки назначения введите IP-адрес или диапазон IP-адресов точки назначения исходящего соединения в нотациях CIDR4 и CIDR6 или веб-адрес (URL) точки назначения.
   • В поле TCP-порты и в поле UDP-порты укажите один или несколько портов для соединения.

     Если требуется указать несколько портов, используйте запятую, например 8080, 8082.

     Если вы не укажете значения портов, то решение разрешит соединение по всем портам.

8. В блоке Файловые операции с помощью переключателя Выключено / Включено активируйте возможность мониторинга файловых операций в контейнере. Для этого укажите значения для следующих параметров:
   • Путь. Пути к файлам или папкам можно указать как с использованием косой черты (/) в конце пути, так и без нее. Вы можете разрешить доступ ко всем поддиректориям, поставив звездочку (*) после косой черты (/) в конце пути.

     При определении путей к файлам указываются только полные пути, которые начинаются с косой черты (/).

   • При необходимости в поле Исключения вы можете указать пути к файлам, для которых не будет осуществляться мониторинг файловых операций.
   • Тип операции. Вы можете указать файловые операции, которые решение будет отслеживать при применении политики среды выполнения. Для этого с помощью флажка выберите один, несколько или все типы операций в следующем списке:
     • Создание – решение регистрирует все операции по созданию файлов в указанных директориях.
     • Открытие – решение фиксирует все операции по открытию файлов.
     • Чтение – решение отслеживает операции по чтению файлов.
     • Запись – решение фиксирует информацию о сохранении изменений в файлах.
     • Переименование или перемещение – решение регистрирует операции, связанные с изменением имени файлов или перемещения файлов в другие папки.
     • Удаление – решение записывает информацию об удалении файлов или папок из указанных директорий.
     • Изменение прав доступа – решение фиксирует информацию об изменении прав доступа к файлам и директориям.
     • Изменение владельца файла – решение отслеживает операции, связанные с изменением владельца файла или папки в указанной директории.

   При необходимости добавьте правила для мониторинга файловых операций с помощью кнопки Добавить правило. Решение будет применять нескольких правил мониторинга файловых операций в рамках одной политики среды выполнения.

   Для файловых операций поддерживается только режим Аудит. Если в применимой политике среды выполнения установлен режим Блокирование, файловые операции осуществляются в режиме Аудит.

9. Нажмите на кнопку Добавить.

Созданный профиль среды выполнения отображается в разделе Политики → Среда выполнения → Профили среды выполнения.

Примеры настроенных профилей среды выполнения

В таблице ниже приводятся некоторые часто используемые решением образы и параметры настроенных для них ограничений в профилях среды выполнения.

Образы и настроенные в них параметры

Изменение параметров профиля среды выполнения

Чтобы изменить параметры профиля среды выполнения:

1. В разделе Политики → Среда выполнения → Профили среды выполнения нажмите на название профиля в списке существующих профилей среды выполнения контейнеров.
2. В открывшемся окне при необходимости измените значения одного, нескольких или всех указанных ниже параметров:
   • Название профиля среды выполнения.
   • Описание профиля среды выполнения.
   • Области применения.
   • Защита от файловых угроз.
   • Ограничение исполняемых файлов контейнера.
   • Ограничение входящих сетевых соединений.
   • Ограничение исходящих сетевых соединений.
   • Файловые операции.
3. Нажмите на кнопку Сохранить.

Изменения параметров профиля среды выполнения сразу же применяются к запущенному контейнеру и влияют на его работу.

Удаление профиля среды выполнения

Чтобы удалить профиль среды выполнения контейнера:

1. В таблице настроенных профилей среды выполнения в разделе Политики → Среда выполнения → Профили образов нажмите на значок удаления () в строке с названием профиля, который вы хотите удалить.
2. Подтвердите удаление в открывшемся окне.